Cybercriminelen hebben het steeds vaker gemunt op bedrijven. En hoewel ze technologie inzetten om hun ding te doen, speelt de mens een belangrijke rol, zowel aan de kant van de aanvallers als die van de verdedigers. Mark T. Hofmann is een gerenommeerd en gerespecteerd specialist. In een boeiend interview spraken we met hem over cyberveiligheid.
Vanwaar je interesse in cybercriminaliteit?
Als ik er nu op terugkijk, was ik al van kleinsaf geïnteresseerd in het gedrag van mensen, al was ik mij daar als kind niet van bewust. Ik herinner mij dat ik als zesjarige stond aan te schuiven met mijn ouders aan een ijskraam, en dat ik uit verveling op basis van hun gedrag probeerde te voorspellen wat de mensen voor ons zouden bestellen. Kozen voor traditionele smaken als chocolade, of eerder voor iets speciaals? Het eerste boek dat ik las ging over lichaamstaal: ik wilde lichaamstaal begrijpen en details zien die iets vertellen over mensen.
Vandaag zouden we dit ‘voorspellend profileren’ noemen. Nu ben ik daar natuurlijk op een heel ander niveau mee bezig. Het verloopt veel meer gefocust en heel professioneel, en het vervult een maatschappelijk doel.
Mark T. Hofmann is een misdaadanalist (profiler) en bedrijfspsycholoog. Al snel raakte hij geïnteresseerd in de duistere kant ervan, zoals psychopathie, narcisme, witteboordencriminaliteit en zo meer. Als profileringsexpert geniet hij internationale bekendheid. Hij richt zich op gedrags- en cyberprofilering, en inspireert mensen over de hele wereld over cyberveiligheid. Hij heeft hackers ontmoet en geïnterviewd, ook daders wiens misdaden tot op vandaag nooit werden ontdekt. Als profileerder schetst hij profielen van criminelen, in de fysieke maar ook in de digitale wereld.
Hoe denken cybercriminelen?
Wel, voordat we ons de vraag stellen waarom cybercriminelen doen wat ze doen, moeten we ons afvragen: wie zijn ze? Het interessante is dat dit bijna altijd mannen zijn, vaak jonger dan 30, en goed opgeleid, met bovengemiddelde intelligentie. Dat is een opvallend verschil met de rest van de criminaliteit: daar zien we een gemiddelde intelligentie en vooral veel laaggeschoolden.
Dat is fascinerend, omdat cybercriminelen het dus niet voor het geld doen: ze kunnen met hun skills werken voor bedrijven zoals Tesla, Google of Amazon, en daar een riant loon verdienen. Zij doen het dus niet zozeer voor het geld, maar voor de opwinding. Ze doen het omdat het kan, en àls ze het dan voor het geld doen, moet je je steeds afvragen wat het eigenlijke motief daarachter is. Vaak hebben ze al meer dan genoeg geld, dan zou hebzucht het motief kunnen zijn.
Wat is ransomware?
Ransomware betekent dat je computer, systemen en gegevens versleuteld zijn en dat niets meer werkt. Je krijgt meestal een rood scherm te zien met de boodschap dat je bent gehackt, en dat je losgeld moet betalen om je gegevens terug te krijgen en je systemen opnieuw te laten werken. Betaal je niet, dan worden je gegevens wellicht verkocht op het dark web.
Wat zijn de belangrijkste cyberbedreigingen?
Het is moeilijk deze vraag te beantwoorden omdat dit sterkt afhangt van je sector. Als je de vraag zo stelt, zou ik zeggen dat dat ransomware is. De vraag is dan ook meteen: hoe komt ransomware in bedrijven terecht? Dan zien we dat mensen altijd aan de basis liggen. Iemand heeft een wachtwoord gedeeld via de telefoon, een foute link aangeklikt of een bijlage gedownload. Dat noemen we social engineering: het manipuleren van mensen om ze iets te laten doen dat ze eigenlijk niet zouden moeten doen. Daar maken cybercriminelen dankbaar gebruik van.
Maar het hangt ook af van sector tot sector wat precies de belangrijkste cyberbedreiging is. We zien in het algemeen vier soorten bedreigingen:
- Black hat hackers (dit zijn individuen)
- Crime as a service: een criminele groep of structuur die bedrijven aanvalt
- Spionage
- Cyberterrorisme
Zit je in een strategisch belangrijke sector zoals energie of infrastructuur, dan is cyberterrorisme wellicht de grootste bedreiging. Voor de algemene zakenwereld is ransomware momenteel de grootste bedreiging. Zit je in de wapenindustrie of vliegtuigbouw bijvoorbeeld, dan is spionage wellicht je grootste bedreiging.
Hoe ziet cybercriminaliteit er over 5 jaar uit?
Opnieuw een moeilijke vraag om te beantwoorden. Er komen nieuwe bedreigingen op ons af, maar ook nieuwe oplossingen. Eén cyberbedreiging waar we de komende jaren veel meer van zullen zien, is ‘crime as a service’. Dat betekent dat je dan bijvoorbeeld ransomware kan huren om cybercriminaliteit mee te plegen. Daarbij gebruik je dan bestaande software waarbij je een percentage van je buit afstaat aan degene waarvan je de software inhuurt. Dat betekent dat het aantal mensen dat cybercriminaliteit kan plegen een heel stuk groter wordt. Waar je 30 jaar geleden nog een grondige informaticakennis nodig had hiervoor, kan vandaag eender wie met een goede basiskennis van computers al aan de slag met dit soort platformen.
Daarnaast is ook de evolutie van deep fake technologie een steeds groter wordende bedreiging. Hiermee kan je stem of beeld vervalsen en het zodanig op het origineel laten lijken dat het geloofwaardig wordt. Met deze vorm van cybercriminaliteit wordt het mogelijk via telefoon of video het vertrouwen van een slachtoffer te winnen en ze zo te manipuleren.
Gelukkig zijn er ook nieuwe ontwikkelingen in de strijd tegen cybercriminaliteit. Een zeer interessant voorbeeld hiervan in de wereld van cyberprofilering is de forensische linguïstiek. We kennen allemaal DNA en vingerafdrukken om cybercriminelen mee te identificeren. In de toekomst zal forensische linguïstiek ons toelaten om iemand te identificeren op basis van een pagina tekst. Het is een soort van linguïstische vingerafdruk, en het is zo interessant omdat cybercriminelen vaak taal en tekst gebruiken om hun misdaden te plegen.
Wat kunnen overheden doen om cybercriminaliteit beter te bestrijden?
Als we kijken waar cybercriminaliteit vandaan komt, dan zien we dat de meeste hackers eraan beginnen tussen de 10 en 15 jaar oud. Ze hebben goede IT-vaardigheden, en willen het gevoel hebben dat ze belangrijk zijn, dat ze er toe doen. Het probleem is natuurlijk dat de meeste organisaties een kind van 10 of 12 jaar niet serieus nemen. Tot ze natuurlijk een bedrijf hacken, dan wordt er plots wel rekening met hen gehouden.
Ik denk dus dat overheden zouden moeten inzetten op het creëren van kansen voor deze mensen om hun vaardigheden te ontwikkelen en te gebruiken voor iets goeds. In veel landen heb je op die leeftijd nog geen toegang tot computerlessen op school, dat is een gemiste kans. Zo komen ze dan terecht op sociale media en het dark web, waar ze zich verder ontplooien.
Overheden zouden bijvoorbeeld cyberuitdagingen kunnen organiseren voor deze jonge IT-talenten. Als ze de code kunnen kraken of een systeem kunnen hacken, krijgen ze bijvoorbeeld een rondleiding of een stage of iets dergelijks. De NSA (National Security Agency in Amerika) zet daar momenteel al op in, en slaagt er zo in om jonge mensen iets goeds te laten doen met hun IT-vaardigheden.
Wat raad je bedrijven aan om hun cyberbeveiliging naar een hoger niveau te tillen?
Cyberbeveiliging moet volgens mij een combinatie zijn van technologie en een menselijke firewall. Je mag de beste technologie ter wereld hebben: als een cybercrimineel je opbelt en je manipuleert om je gebruikersnaam en wachtwoord te geven, dan heb je een groot probleem. Geen enkele technologie lost dat op. Veel bedrijven zijn trots op de technologie die ze inzetten om systemen te beveiligen, maar hebben geen idee dat tegelijkertijd hackers gewoon foto’s van het scherm nemen en de data gebruiken om je schade toe te brengen.
Hoe kunnen bedrijven hun medewerkers trainen?
Ik raad bedrijven eigenlijk af om zelf hun mensen te trainen. We zien dat IT-departementen en medewerkers alleen maar contact hebben met elkaar als een systeem niet werkt of als iemand een fout gemaakt heeft. IT is dus jammer genoeg vaak een negatief onderwerp in bedrijven, en dat bevordert de cyberveiligheid niet. We zien vaak dat interne trainingen alleen maar die mensen bereiken die de kennis al hebben.
In plaats daarvan zou ik bedrijven aanraden om het entertainend te maken en om externen in te schakelen om hun medewerkers te enthousiasmeren. Zo bereik je de mensen die in principe geen interesse hebben in cyberveiligheid, of voor wie dit geen prioriteit is. De eerste contactpunten in het bedrijf zijn vaak de secretaresse, het onthaal en dergelijke, vaak mensen die te weinig op de hoogte zijn van cyberpsychologie en social engineering. Probeer iedereen in je bedrijf te inspireren rond cyberveiligheid, alleen zo bouw je een menselijke firewall in je organisatie.
Schrijf je in voor meer inspiratie*
Ontdek interviews, podcasts en andere content
Word uitgenodigd voor webinars, beurzen en netwerk-events
Download e-books en whitepapers
* We sturen je via e-mail op regelmatige basis onze content. Je ontvangt geen commerciële berichten of voorstellen. Uiteraard kan je op elk moment uitschrijven, of je voorkeuren aanpassen via de link onderaan elke e-mail. Door je in te schrijven aanvaard je het privacybeleid van Telenet.